Una nueva versión del software KillDisk falso con malware ha afectado a las empresas del sector financiero en América Latina segun informo Trend Micro.
Al igual que las versiones anteriores, KillDisk elimina archivos borrados, pero incluyó una nota de rescate en un intento de engañar a las víctimas que han sido infectadas con el ransomware y no un limpiador de disco malicioso conocido por ser utilizado en muchas operaciones de ciberespionaje pasadas.KillDisk es uno de los más infames familias de malware de todo. El malware ha sido desarrollado y utilizado principalmente por un grupo de espionaje cibernético ruso conocido como Telebots.
Este es el mismo grupo que creó el software malicioso gusano de arena que atacó equipos industriales en los EE.UU., el malware BlackEnergy que se utilizó en los ataques contra la red eléctrica de Ucrania, y el ransomware NotPetya que afectó a muchas empresas en junio de 2017.
KillDisk fue desarrollado inicialmente como un malware de disco que limpia que se ha implementado en las últimas etapas de una infección por lo que los atacantes podrían utilizar para ocultar sus huellas limpiando discos y la destrucción de pruebas forenses.Este fue el propósito principal de KillDisk cuando se utiliza junto con el software malicioso BlackEnergy durante los ataques Telebots' en la red eléctrica de Ucrania en de diciembre de el año 2015 y de diciembre de el año 2016.
A finales de 2016, KillDisk recibio un lavado de cara y comenzó a pasar por ransomware en los ataques contra los bancos de Ucrania. Una variante de Linux también se descubrió poco después, también se utiliza contra los mismos objetivos.
Trend Micro informa de nuevos ataques KillDisk. La compañía dice que detecta una nueva versión, pero los cambios son mínimos de los ataques anteriores.
La nota de rescate todavía está allí, así como las funciones de disco limpiando. Lo único que ha cambiado son los objetivos, con KillDisk siendo desplegado en las redes de las empresas financieras de América Latina, muy lejos de los objetivos anteriores de Ucrania, donde el malware fue visto durante los últimos tres años.
Por el momento, Trend Micro no dijo si estos nuevos tipos de ataques se llevaron a cabo por el equipo de TeleBots, o por algunos imitadores que tratan de engañar a los investigadores forenses y tirar investigadores fuera de su camino.
Pocos cambios con respecto a versiones anteriores
Pero al igual que en los ataques anteriores, los investigadores también observaron que KillDisk no era el malware primaria desplegado por los intrusos."Esta variante KillDisk parece que se deja caer intencionalmente por otro proceso / atacante", dijeron los investigadores . "Su ruta del archivo está codificado en el software malicioso (c: \ windows \ dimens.exe), lo que significa que está estrechamente unida con su instalador o es parte de un paquete más grande."Los investigadores no dicen lo que ha sido la carga principal por el momento. No obstante, entraron en más detalles sobre el modo de funcionamiento de esta variante KillDisk particular.
¿Como funciona el ransomware KillDisk falos?
- Según los investigadores, KillDisk una vez que cae sobre una por ordenador se carga en la memoria en sí, eliminar sus archivos desde el disco, y cambiar el nombre en sí.
- A continuación, sobrescribe los primeros 20 sectores de registro de inicio maestro de cada dispositivo de almacenamiento (MBR) con 0x00 bytes.
- Después de que volverá a escribir los primeros 2800 bytes de cada archivo con el mismo 0x00 bytes en cada unidad de almacenamiento fijo y extraíble.
- Los únicos archivos que quedan intactos son los archivos y carpetas que se encuentran en los siguientes directorios, todos curcial a las operaciones del sistema operativo.
WINNT, Users, Windows, Program Files, Program Files (x86), ProgramData, Recovery (case-sensitive check), $Recycle.Bin, System Volume Information, old, PerfLogs- KillDisk continuación, inicia un temporizador de 15 minutos y luego mata al siguiente proceso. Debido a que estos procesos son cruciales del sistema operativo, la máquina del usuario o bien se introduce un BSOD o se reiniciará la fuerza sin la opción del usuario.
- Cliente / servidor de tiempo de ejecución subsistema (csrss.exe). El inicio de Windows Aplicación (wininit.exe). Aplicación de inicio de sesión de Windows (winlogon.exe). De seguridad local subsistema de autoridad de Servicio (lsass.exe)
